Ein SSH-Tunnel für die Datenbank

Mit der oben beschriebenen Installation ist die Datenbankverbindung zwischen Client und Server noch unverschlüsselt. Zur Verschlüsselung kann einerseits die native Verschlüsselung im DBMS eingeschaltet werden. Man kann aber auch Datenbankverbindungen durch einen zusätzlichen ssh-Tunnel verschlüsseln. Zum Tunneln z.B. von Postgres von einem entfernten Rechner über ssh gehen Sie wie folgt vor:

Unter Windows:

·         Starten Sie den ssh-Client putty (z.B. von http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)

·         Erzeugen Sie ggf. eine neue Session, indem Sie auf der obersten Seite "Sessions" den Host Name, Port, Protocol=ssh eintragen.

·         Geben Sie dann bei saved sessions einen neuen Namen, und drücken Sie sicherheitshalber "Save".

·         Geben Sie im Menüpunkt "Connection" bei "Auto-Login username" den Namen "superx" an.

·         Geben Sie im Menüpunkt "SSH"->"Tunnels" unten im Menü "Add new forwarded Ports"

·         bei "Source Port" z.B. "9998" ein.

·         Bei "Destination" geben Sie "localhost:5432" ein (wenn 5432 der Port ist, auf dem Postgres läuft).

·         Lassen Sie "Local" angekreuzt, und drücken Sie dann darüber "Add")

|hardcopy|2006/09/18 17:53:59 superx SIRRAH

·         Dann speichern Sie die Session auf der obersten Seite "Sessions"

·         Dann drücken Sie unten "Open" und loggen sich ein.

 

Unter Unix/Linux:

Geben Sie einfach in der Shell ein:
ssh superx@<<IP-Nr. des DB-Servers>> -L 9998:localhost:5432

 In diesem Moment ist der Tunnel eingerichtet. Sie können ihn nun nutzen, wenn Sie mit Ihrem JDBC- oder ODBC-Client auf den Port localhost:9998 zugreifen.

 Z.B. für die sqlWorkbench unter Postgres im Dialog "Connect" die URL

 jdbc:postgresql://localhost:9998/superx

  Der Tunnel wird geschlossen wenn Sie sich ausloggen. Sie müssen übrigens nicht den Hostnamen des Client-Rechners in die pg_hba.conf eintragen, für Postgres verhält sich der Tunnel so, als ob vom Rechner "localhost" auf den Server zugegriffen wird. Auch in der Firewall des DB-Servers muss nur der SSH-Port freigeschaltet sein, nicht der Datenbank-Port.

 Bei Problemen ist ggf. im SSH-Server das Port-Forwarding aus Sicherheitsgründen ausgeschlossen. Für Informix haben wir das obige Vorgehen noch nicht getestet.

Zur Superx-Homepage SuperX ist auch ein CampusSource-Projekt. Zur CampusSource-Homepage | Powered by FreeMarker Seite 49 / 277
Letzter Update: 18.08.2008
Impressum